(71) 정보주체는 온라인 신용신청의 자동 거절이나 인적개입 없이 이루어지는 전자채용 관행 등 자동화 처리에만 근거하여 본인에 관한 개인적인 면을 평가하고 본인에게 법적인 영향 또는 유사하게 중대한 영향을 초래하는 조치를 포함할 수 있는 결정에 따르지 않을 권리를 가진다.

그 처리에는 개인에 관한 개인적인 측면을 평가하는 모든 형태의 개인정보 자동화 처리로 구성된 ‘프로파일링’이 포함되고, 특히 정보주체의 업무능력, 경제적 상황, 건강, 개인의 선호나 관심사, 신뢰성 또는 행동, 위치나 움직임에 관한 측면을 분석 또는 예측하며, 정보주체에게 법적인 영향이나 이에 상응하는 중대한 영향을 미치는 경우 그러하다.

그러나 프로파일링 등 그러한 처리에 근거한 의사결정은 컨트롤러가 적용받는 유럽연합 또는 회원국 법률에서 명시적으로 승인하는 경우 허용되어야 하며, 유럽연합 산하기구 또는 회원국 감독기구의 규정, 기준 및 권고에 따라 실시되는 사기 및 탈세의 감시·예방 목적으로나 컨트롤러가 제공하는 서비스의 보안 및 신뢰성을 보장하기 위해, 또는 정보주체와 컨트롤러 간의 계약 체결이나 이행에 필요하거나 정보주체가 명시적인 동의를 제공하였을 때 등이 이에 해당한다.

어떠한 경우에도, 그러한 처리는 정보주체에게 제공되는 특정 정보, 인적개입을 획득할 권리, 견해를 표현할 권리, 상기 평가 후 내려진 결정에 대한 설명을 얻을 권리, 해당 결정에 이의를 제기할 권리 등 적절한 안전장치를 적용받아야 한다.

그 같은 조치에 아동은 관여되지 않는다.

정보주체와 관련하여 공정하고 투명한 처리를 보장하기 위해서, 컨트롤러는 개인정보가 처리되는 특정 상황과 맥락을 고려하여 프로파일링을 위한 적절한 수학적 또는 통계적 절차를 사용하고, 특히 개인정보를 부정확하게 만드는 요인을 시정하고 오류의 위험을 최소화시키는 데 적절한 기술적 및 관리적 조치를 이행하며, 정보주체의 이익과 권리를 위해 관련된 잠재적 위험을 고려하고 특히 인종이나 민족출신, 정견, 종교나 신념, 노동조합의 가입여부, 유전적 상태나 건강 상태, 또는 성적취향에 근거하여 개인에 미치는 차별을 방지하는 방식 또는 그 같은 효과를 지니는 조치가 이루어지는 방식으로 개인정보를 보호해야 한다.

특별 범주의 개인정보에 근거한 자동 의사결정 및 프로파일링은 특정 조건에 따라서만 허용되어야 한다.